Veille cyber du 24/06/2024
Découvrez comment Google révolutionne la sécurité avec le projet Naptime, l'impact des pirates nord-coréens sur 1 590 portefeuilles cryptographiques selon CoinStats, et la condamnation d'un gang utilisant le yuan numérique. Plongez dans l'actualité de la cybersécurité et des cryptomonnaies!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Google présente le projet Naptime pour la recherche sur les vulnérabilités basée sur l'IA
Google a développé un nouveau cadre appelé Project Naptime qui permet à un grand modèle de langage (LLM) de mener des recherches sur les vulnérabilités afin d'améliorer les approches de découverte automatisée. Le cadre Naptime repose sur l'interaction entre un agent d'IA et une base de code cible, fournissant à l'agent des outils spécialisés pour imiter le travail d'un chercheur en sécurité humain. Cette approche vise à exploiter les avancées en compréhension du code et en capacité de raisonnement général des LLM, leur permettant de reproduire le comportement humain pour identifier et démontrer les vulnérabilités de sécurité. Naptime comprend plusieurs composants tels qu'un outil de navigation dans le code, un outil Python pour l'exécution de scripts en environnement sandbox, un outil de débogage pour observer le comportement du programme et un outil de suivi de la progression des tâches. Google affirme que Naptime est agnostique aux modèles et aux backends, et est meilleur pour détecter les failles de débordement de tampon et de corruption de mémoire avancée. Les tests ont montré que Naptime améliore la capacité de l'agent à identifier et analyser les vulnérabilités de manière précise et reproductible.
Sources :
CoinStats affirme que des pirates nord-coréens ont piraté 1 590 portefeuilles cryptographiques
CoinStats a subi une importante violation de sécurité qui a compromis 1 590 portefeuilles de cryptomonnaie, avec des soupçons d'une attaque menée par des acteurs de la menace nord-coréens. Les portefeuilles hébergés sur CoinStats ont été potentiellement touchés, tandis que ceux connectés en lecture seule n'ont pas été affectés. Les utilisateurs concernés sont invités à transférer immédiatement leurs fonds vers un portefeuille externe. Le site web et l'application CoinStats restent indisponibles pendant l'enquête et l'atténuation de l'attaque. Le PDG de CoinStats a déclaré que des preuves significatives pointent vers des hackers nord-coréens, en lien avec le groupe de piratage Lazarus. Des escrocs tentent déjà de profiter de la faille en promouvant de faux programmes de remboursement. Aucun programme de remboursement officiel n'a été annoncé par CoinStats, donc toute réclamation à ce sujet doit être considérée comme une arnaque.
Sources :
Un gang de pirates condamné pour avoir utilisé le yuan numérique
Un gang de pirates a été condamné pour avoir utilisé le yuan numérique, la cryptomonnaie chinoise, pour blanchir plus de 20 000 euros en quatre jours. Les cybercriminels ont échangé des e-CNY contre de l'argent liquide avec des commerçants moyennant une commission. Les autorités ont été alertées par des mouvements financiers suspects et ont arrêté les membres du gang. Trois personnes ont été condamnées à des peines de prison et des amendes pour dissimulation et blanchiment de fonds criminels. Les procureurs ont souligné l'importance de la vigilance face aux transactions inhabituelles et ont appelé à protéger les informations personnelles. Le yuan numérique est une monnaie émise et contrôlée par la Banque populaire de Chine, différente des cryptomonnaies décentralisées comme le Bitcoin.
Sources :
Les propriétaires d’Empire Market inculpés pour avoir opéré un marché noir de 430 millions de dollars
Deux hommes ont été inculpés pour avoir dirigé le marché noir en ligne Empire Market, générant plus de 430 millions de dollars de transactions illégales entre 2018 et 2020. Les accusations portent sur diverses activités criminelles telles que le trafic de drogues et la vente de fausse monnaie. Les suspects ont utilisé des mesures de sécurité sophistiquées pour protéger leur anonymat. Les charges incluent le trafic de drogues, la fraude informatique et le blanchiment d'argent, avec des risques de peines de prison à vie. La collaboration entre plusieurs agences américaines et internationales a permis de démanteler le réseau. La fermeture d'Empire Market en 2020 a été une victoire dans la lutte contre le commerce illégal en ligne, bien que de nouveaux marchés noirs aient émergé depuis. L'utilisation de cryptomonnaies a joué un rôle clé dans les transactions du site, permettant aux autorités de suivre les flux financiers pour identifier les suspects.
Sources :
Vulnérabilité RCE critique découverte dans l’outil d’infrastructure Ollama AI
Des chercheurs en cybersécurité ont révélé une faille de sécurité désormais corrigée affectant la plateforme d'intelligence artificielle open-source Ollama, permettant une exécution de code à distance. La vulnérabilité, nommée Probllama, a été corrigée dans la version 0.1.34 sortie le 7 mai 2024. Ollama est utilisé pour exécuter des modèles de langage localement sur Windows, Linux et macOS. La faille résulte d'une validation insuffisante des entrées, permettant à un attaquant de modifier des fichiers arbitraires sur le serveur et d'exécuter du code à distance. L'exploitation réussie nécessite l'envoi de requêtes HTTP spécialement conçues à l'API d'Ollama. Cette vulnérabilité est particulièrement critique dans les déploiements Docker, où le serveur s'exécute avec des privilèges root et est exposé publiquement. Il est recommandé de sécuriser les services Ollama avec des outils d'authentification pour éviter les attaques.
Sources :
Découverte d’un complice de hackers russes après des attaques en Belgique et aux Pays-Bas
Un complice de hackers russes a été découvert par les services de cyberpolice ukrainiens après des cyberattaques en Belgique et aux Pays-Bas. L'homme de 28 ans est accusé d'avoir aidé des groupes de hackers russes LockBit et Conti dans des attaques de ransomware. Il risque jusqu'à 15 ans de prison en Ukraine. Les autorités ukrainiennes collaborent avec des partenaires internationaux pour lutter contre ces cybermenaces, dans un contexte de cyberconflits avec la Russie. Des précédents notables incluent l'attaque du virus NotPetya en 2017. Par ailleurs, une annonce de recrutement de nouveaux affiliés pour LockBit a été repérée sur un forum russophone, en anglais.
Sources :
L’interdiction de Kaspersky aux États-Unis : nouvelle étape dans la guerre de la cybersécurité
L'article traite de l'interdiction des logiciels antivirus Kaspersky aux États-Unis en raison de préoccupations de sécurité liées à des liens présumés avec les autorités russes. Cette mesure, justifiée par le département du Commerce, s'inscrit dans un contexte de tensions géopolitiques et d'accusations d'espionnage. Kaspersky conteste cette décision et propose une vérification indépendante de ses produits. Les utilisateurs américains doivent trouver des alternatives avant le 29 septembre. Cette interdiction souligne les enjeux de cybersécurité entre Washington et Moscou, mettant en lumière la méfiance envers les entreprises technologiques russes. Kaspersky doit désormais défendre son intégrité tout en s'adaptant aux restrictions croissantes.
Sources :
14 conseils pour sécuriser l’accès à distance à votre Active Directory
L'article met en avant l'importance de sécuriser l'accès à distance à l'Active Directory pour garantir la sécurité des ressources sensibles, notamment dans un contexte de travail hybride ou entièrement à distance. Des conseils sont donnés pour renforcer la sécurité, tels que l'activation de l'authentification multifactorielle, la gestion des accès, la mise en place de politiques de sécurité pour les travailleurs à distance, la surveillance des connexions externes et la sensibilisation des employés aux bonnes pratiques en matière de cybersécurité. Il est également recommandé de fournir une assistance informatique réactive aux employés à distance. La solution UserLock est présentée comme un moyen de relever le défi de sécuriser l'accès à distance à l'Active Directory, en atténuant les risques et en garantissant que seules les personnes autorisées accèdent aux données sensibles.
Sources :
DMARC: combattre l’usurpation d’identité et protégez votre domaine
Le livre blanc de Barracuda, "DMARC : Combattez l’usurpation d’identité et protégez votre domaine", met en avant l'importance du protocole DMARC pour lutter contre les attaques par usurpation d'identité. En combinant les protocoles SPF et DKIM, DMARC garantit l'authenticité de l'expéditeur des e-mails. En 2022, 75 % des organisations ont subi des attaques par e-mails réussies, avec un coût moyen de réparation d'environ 1 million USD par attaque. DMARC permet d'identifier les expéditeurs légitimes, de rejeter les usurpations de noms de domaine protégés et de mettre en quarantaine les e-mails suspects. Le livre blanc explique comment implémenter DMARC, ajouter des domaines, organiser les adresses IP, et rejeter les courriels non authentifiés. Avec DMARC, les attaques par phishing peuvent être détectées et rejetées, renforçant ainsi la sécurité des entreprises contre les cybercriminels.
Sources :
Préparez votre cybermois pendant l’été : que savoir absolument ?
L'article met en avant l'importance de profiter de l'été pour se préparer au cybermois, période propice à renforcer la cybersécurité. Il souligne les risques potentiels tels que le phishing et met en avant l'initiative d'Erium pour aider à se prémunir contre les cyberattaques. Erium propose des services de cybersécurité variés et lance une campagne gratuite cet été pour renforcer les compétences en la matière. Il est recommandé d'évaluer les risques, former les équipes, mettre à jour les politiques de sécurité et tester les systèmes pour se prémunir efficacement contre les menaces.
Sources :
Allégez le fardeau grâce aux rapports de renseignements sur les menaces basés sur l'IA
Les professionnels de la cybersécurité font face à des défis sans précédent en raison de charges de travail croissantes, de budgets limités et de surfaces d'attaque en expansion. Le renseignement sur les menaces cybernétiques (CTI) est crucial pour anticiper et atténuer les attaques potentielles, mais son utilisation efficace est entravée par des défis tels que le manque d'interopérabilité des outils, le financement insuffisant et le manque de personnel qualifié. La pénurie mondiale d'environ 4 millions d'employés en cybersécurité aggrave les difficultés des organisations à se protéger contre les menaces. Les équipes de cybersécurité sont également confrontées à la pression des rapports demandés par les dirigeants, ce qui peut être particulièrement difficile pour les fournisseurs de services de sécurité gérés (MSSP). Cybersixgill IQ offre une solution innovante en automatisant la création de rapports CTI, permettant aux équipes de sécurité de se concentrer sur des mesures proactives et de mieux gérer la pénurie de compétences. Cette technologie générative permet de produire des résumés pour les cadres et des rapports techniques détaillés, répondant ainsi aux besoins de tous les acteurs.
Sources :
La campagne de cyberespionnage RedJuliett frappe 75 organisations taïwanaises
Un groupe de menace probablement lié à la Chine et soutenu par l'État a été identifié dans une campagne de cyberespionnage ciblant Taiwan entre novembre 2023 et avril 2024. Le groupe, nommé RedJuliett, opère depuis Fuzhou, en Chine, pour soutenir les objectifs de collecte de renseignements de Pékin. Il a également ciblé d'autres pays tels que Djibouti, Hong Kong, le Kenya, le Laos, la Malaisie, les Philippines, le Rwanda, la Corée du Sud et les États-Unis. RedJuliett cible principalement des appareils Internet tels que pare-feu, équilibreurs de charge et produits VPN pour accéder initialement aux réseaux, utilisant des techniques d'évasion pour rester discret. Le groupe est actif depuis au moins mi-2021 et vise à collecter des renseignements sur la politique économique de Taiwan, ses relations commerciales et diplomatiques avec d'autres pays.
Sources :
Plusieurs acteurs de menace déployant Rafel RAT open source pour cibler les appareils Android
Des groupes de cyberespionnage utilisent l'outil de gestion à distance Android open-source Rafel RAT pour mener des activités malveillantes en se faisant passer pour des applications populaires telles qu'Instagram et WhatsApp. Check Point a identifié environ 120 campagnes malveillantes utilisant Rafel RAT, ciblant des entités de haut niveau dans plusieurs pays. Les victimes, principalement des utilisateurs de Samsung, Xiaomi, Vivo et Huawei, ont des versions obsolètes d'Android. Les attaques impliquent souvent de l'ingénierie sociale pour obtenir des autorisations intrusives et voler des données sensibles. Rafel RAT utilise principalement HTTP(S) pour les communications de commande et contrôle, mais peut également utiliser les API Discord. Cet outil a été utilisé dans des opérations de ransomware et souligne la nécessité de mesures de sécurité proactives pour protéger les appareils Android contre les exploitations malveillantes.
